Jump to content

Edit History

WebDave

WebDave


Add PS

Bonjour,

Je m'inscris sur ce forum juste pour répondre à ce port. Même si c'est pour le déterrer cela peut servir à ceux qui sont dans la même situation que l'OP.

En effet c'est une très mauvaise pratique de renvoyer le mot de passe de l'utilisateur en clair dans l'email de confirmation d'inscription, de plus c'est bien inutile.

L'utilité théorique serait de confirmer à l'utilisateur le mot de passe qu'il a choisi. Pourquoi pas, dira t-on mais que se passerait il s'il oublie son mot de passe et qu'il n'est pas afficher dans l'email d'inscription ? bah la fonctionnalité de récupération de mot de passe est là.

Voilà c'est inutile maintenant pourquoi c'est dérangeant niveau sécurité. Même si le mot des passe est hashé,  non pas chiffré ou crypté qui est un mot qui n'existe même pas (https://chiffrer.info), l'envoyer via un email renvient à l'envoyer à travers internet, sur plusieurs serveurs, avec un email possiblement en clair aussi. Bref déjà sur le transport ce n'est pas top. De plus le mot de passe est forcément en clair à un instant sur l'ordinateur et dans le compte du client. Si l'un ou l'autre est compromis par un pirate, celui-ci peut être récupéré.

On 11/16/2016 at 9:47 AM, coeos.pro said:

Ni rien, ni personne ne l’empêche de supprimer ce mail afin d'avoir une sécurité totale et absolue.

Du coup non supprimer le mail après coup ne permet pas "d'avoir une sécurité totale et absolue" car envoyer le mot de passe par message entraine forcément des problème de sécurité sans que l'utilisateur ne puisse choisir d'éviter cela.

De plus, une bonne partie des utilisateurs réutilise le même mot de passe pour plusieurs comptes. Du coup divulguer le mot de passe du compte de votre prestashop peut permettre de divulguer les mots de passe de bien d'autre compte.

On 11/16/2016 at 9:47 AM, coeos.pro said:

Un client qui est choqué par absolument tout ce qu'il voit, par expérience, je sais que c'est un casse bonbon dont la vie est assez vide pour avoir tout le temps d’embêter les autres...

Et c'est quoi ce mot de passe sécurisé ? azerty ? 12345678 ? son prénom ?

Bravo la condescendance, mais lorsqu'un utilisateur rapporte un problème de sécurité, il vous aide, il n'est pas "un casse bonbon dont la vie est assez vide pour avoir tout le temps d’embêter les autres" alors merci de l'écouter. N'oubliez pas que vous n'avez pas un savoir absolu, soyez humble et apprenez à dire merci quand les gens vous donnent de bons conseils même si vous êtes "PrestaShop Superstar".

PS:  coeos.pro, j'ai regardé votre module de sécurité (http://www.coeos.pro/product.php?id_product=124). Sincèrement, au vu de la description détaillé on voit directement que vous ne maitrisez pas bien les protections face aux attaques. Si vous pouviez donc éviter de donner des conseils sur des sujets de sécurité comme celui-ci ce serait pas mal. Merci.

WebDave

WebDave

Bonjour,

Je m'inscris sur ce forum juste pour répondre à ce port. Même si c'est pour le déterrer cela peut servir à ceux qui sont dans la même situation que l'OP.

En effet c'est une très mauvaise pratique de renvoyer le mot de passe de l'utilisateur en clair dans l'email de confirmation d'inscription, de plus c'est bien inutile.

L'utilité théorique serait de confirmer à l'utilisateur le mot de passe qu'il a choisi. Pourquoi pas, dira t-on mais que se passerait il s'il oublie son mot de passe et qu'il n'est pas afficher dans l'email d'inscription ? bah la fonctionnalité de récupération de mot de passe est là.

Voilà c'est inutile maintenant pourquoi c'est dérangeant niveau sécurité. Même si le mot des passe est hashé,  non pas chiffré ou crypté qui est un mot qui n'existe même pas (https://chiffrer.info), l'envoyer via un email renvient à l'envoyer à travers internet, sur plusieurs serveurs, avec un email possiblement en clair aussi. Bref déjà sur le transport ce n'est pas top. De plus le mot de passe est forcément en clair à un instant sur l'ordinateur et dans le compte du client. Si l'un ou l'autre est compromis par un pirate, celui-ci peut être récupéré.

On 11/16/2016 at 9:47 AM, coeos.pro said:

Ni rien, ni personne ne l’empêche de supprimer ce mail afin d'avoir une sécurité totale et absolue.

Du coup non supprimer le mail après coup ne permet pas "d'avoir une sécurité totale et absolue" car envoyer le mot de passe par message entraine forcément des problème de sécurité sans que l'utilisateur ne puisse choisir d'éviter cela.

De plus, une bonne partie des utilisateurs réutilise le même mot de passe pour plusieurs comptes. Du coup divulguer le mot de passe du compte de votre prestashop peut permettre de divulguer les mots de passe de bien d'autre compte.

On 11/16/2016 at 9:47 AM, coeos.pro said:

Un client qui est choqué par absolument tout ce qu'il voit, par expérience, je sais que c'est un casse bonbon dont la vie est assez vide pour avoir tout le temps d’embêter les autres...

Et c'est quoi ce mot de passe sécurisé ? azerty ? 12345678 ? son prénom ?

Bravo la condescendance, mais lorsqu'un utilisateur rapporte un problème de sécurité, il vous aide, il n'est pas "un casse bonbon dont la vie est assez vide pour avoir tout le temps d’embêter les autres" alors merci de l'écouter. N'oubliez pas que vous n'avez pas un savoir absolu, soyez humble et apprenez à dire merci quand les gens vous donnent de bons conseils même si vous êtes "PrestaShop Superstar".

×
×
  • Create New...